Hotel.de(.info) Spam: Reservierung 400469698
 

Hotel.de Reservierung 400469698


Wer eine Mail mit dem Betreff
"Hotel.de Reservierung 400469698"
(Nummern können varieren)
erhält, sollte diese an uns weiterleiten.
Reservierung



Buchungsnummer: SN647765

Buchungsdatum: Mon, 10 Jun 2013 17:23:24

Mehr Details in der beigefugten Datei



Anreise: 12.06.2013 Anzahl Nächte: 1
Abreise: 12.06.2013 Gesamtanzahl Personen: 1
Preis: 73,89 EUR
Der Gesamtpreis beinhaltet 3,93 EUR Steuern und Abgaben.



Hinweis: Diese Buchung ist per Bankkarte gesichert.
——————————————————————————–
Mit freundlichen grüßen
Ihr hotel.de/hotel.info-Team
hotel.de AG – www.hotel.de <http://www.hotel.de – Book Cheap Hotels | Compare Hotel Deals and Hotel Reviews | hotel.info
<Book Cheap Hotels | Compare Hotel Deals and Hotel Reviews | hotel.info





Es hängt an:
Hotel.de Reservierung.zip
Rund 37,3 KB groß.
Virustotal Ergebniss der enthaltenen .EXE Datei:
https://www.virustotal.com/de/file/8...is/1370863194/
SHA256:
88639fd7c8cf2d1319cc9e81ed62767c71437caf1f8766ca14ee2ddaebdcec64*
Dateiname:
Hotel.de Reservierung.scr*
Erkennungsrate:
12 / 47 *
AVG
PSW.Generic11.AABU
BitDefender
Trojan.GenericKDZ.21192 DrWeb
Trojan.Winlock.8870
Emsisoft
Trojan.GenericKDZ.21192 (B)
ESET-NOD32
a variant of Win32/Injector.AHVC
F-Secure
Trojan.GenericKDZ.21192
Fortinet
W32/Injector.YUP!tr
GData
Trojan.GenericKDZ.21192
Kaspersky
Trojan-Ransom.Win32.PornoAsset.cgdn
Malwarebytes
Trojan.LVBP.HS1
MicroWorld-eScan
Trojan.GenericKDZ.21192
Panda
Trj/CI.A


Es handelt sich hierbei um Backdoor.Gamarue

Folgene Autostart Einträge werden erstellt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
49942
C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\mschcbrq.scr

Starteintrag für Andromeda.

HKEY_USERS\Software\Microsoft\Windows\CurrentVersion\Run
Yntyum
"C:\Documents and Settings\Administrator\Application Data\Anzuzu\ohuw.exe"

Starteintrag für Zbot (Banking Malware)

die Malware verbindet zu:

clothesshopuppy.com/plug/r.pac

clothesshopuppy.com/plug/pony

clothesshopuppy.com/plug/pcb

utahblinds.ie/cita.exe

clothesshopuppy.com/stats/image.php

puppyclothesshop.net/info/gate.php

gate.butchjoseph.com/forum/file.php

happystar-radio.com/redir.php

außerdem deuten smtp Verbindungen auf einen Spambot (Mailspam) hin.

62.149.128.203

Via Port 25, die Liste ist wesendlich länger, deswegen hier nur eine IP als Beispiel.
Diese Malware ist in der Lage, sensible Daten zu stehlen.
Passwörter, Banking Daten, etc.

- Wer eine solche, oder ähnliche verdächtige Mail erhält, möge diese an uns weiterleiten.
markusg - trojaner-board.de
- Mails, die man erhält, immer gründlich lesen.
- wer den Link geöffnet hatt, bitte ein Thema bei uns eröffnen.
Log-Analyse und Auswertung - Trojaner-Board
- wer in sozialen Netzwerken aktiv ist, sollte den Link zu diesem beitrag ruhig teilen, um andere zu warnen